KR100852145B1 - Security system and securing method of call signaling messages for session initiation protocol based voice over the internet protocol service - Google Patents

Security system and securing method of call signaling messages for session initiation protocol based voice over the internet protocol service Download PDF

Info

Publication number
KR100852145B1
KR100852145B1 KR1020070119812A KR20070119812A KR100852145B1 KR 100852145 B1 KR100852145 B1 KR 100852145B1 KR 1020070119812 A KR1020070119812 A KR 1020070119812A KR 20070119812 A KR20070119812 A KR 20070119812A KR 100852145 B1 KR100852145 B1 KR 100852145B1
Authority
KR
South Korea
Prior art keywords
call control
control message
message
state
server
Prior art date
Application number
KR1020070119812A
Other languages
Korean (ko)
Inventor
원용근
임채태
이태진
원유재
Original Assignee
한국정보보호진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국정보보호진흥원 filed Critical 한국정보보호진흥원
Priority to KR1020070119812A priority Critical patent/KR100852145B1/en
Priority to US12/181,607 priority patent/US20090138954A1/en
Application granted granted Critical
Publication of KR100852145B1 publication Critical patent/KR100852145B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1076Screening of IP real time communications, e.g. spam over Internet telephony [SPIT]
    • H04L65/1079Screening of IP real time communications, e.g. spam over Internet telephony [SPIT] of unsolicited session attempts, e.g. SPIT
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • H04L65/1104Session initiation protocol [SIP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

A security system of a call signaling message for an SIP(Session Initiation Protocol)-based VoIP(Voice over Internet Protocol) service and a method thereof are provided to block messages which are not suitable for message grammar or include blocking information registered in a blocking list or are not proper for message session states, thereby preventing an attack on a call signaling message. A message suitability verification module(10) receives call signaling messages transmitted between a terminal(1) and a server(2), blocks call signaling messages which do not comply with preset types, and delivers not-blocked call signaling messages. A filtering module(20) receives the call signaling messages, blocks call signaling messages including blocking information registered in a prestored blocking list, and delivers not-blocked call signaling messages. A message state verification module(30) receives the call signaling messages, blocks call signaling messages which do not correspond to session states, and transmits not-blocked messages to the terminal or the server.

Description

SIP 기반 VoIP 서비스를 위한 호 제어 메시지의 보안 시스템 및 방법{SECURITY SYSTEM AND SECURING METHOD OF CALL SIGNALING MESSAGES FOR SESSION INITIATION PROTOCOL BASED VOICE OVER THE INTERNET PROTOCOL SERVICE}SECURITY SYSTEM AND SECURING METHOD OF CALL SIGNALING MESSAGES FOR SESSION INITIATION PROTOCOL BASED VOICE OVER THE INTERNET PROTOCOL SERVICE}

본 발명은 SIP(Session Initiation Protocol)에 기반한 VoIP(Voice Over the Internet Protocol) 서비스를 위한 호 제어 메시지(Call Signaling Message)의 보안 시스템 및 방법에 관한 것으로, 상세하게는 발신 단말기와 서버 사이에 송수신되는 호 제어 메시지 중, 메시지 문법에 적합하지 않거나, 차단 리스트에 등록된 차단정보를 포함하거나 또는 메시지의 세션(session) 상태에 적합하지 않은 메시지를 차단함으로써, 조작된 패킷 등에 의한 영향을 받지 않고 VoIP 서비스를 제공할 수 있도록 하는 호 제어 메시지의 보안 시스템 및 방법에 관한 것이다.The present invention relates to a security system and method for a call signaling message (Voice Over the Internet Protocol) service based on a Session Initiation Protocol (SIP). VoIP service without being affected by manipulated packets by blocking messages that do not conform to the message grammar, contain blocking information registered in the block list, or which do not conform to the session state of the message. It relates to a security system and method of a call control message to provide a.

VoIP(Voice Over the Internet Protocol) 서비스는 IP 망을 이용하여 음성 통화를 제공하는 서비스를 통칭하며, 저렴한 이용료와 편리한 사용법으로 인해 현재 각광받고 있는 인터넷 전화 서비스이다. VoIP 서비스를 이용한 전화통신에서는 호 설정 프로토콜이 필요하며 다양한 호 설정 프로토콜 중 SIP(Session Initiation Protocol) 프로토콜이 가장 활발하게 연구되고 있다.Voice over the Internet Protocol (VoIP) service is a service that provides voice call using IP network, and is an Internet telephony service that is currently in the spotlight due to low usage fee and convenient usage. Call setup protocol is required for telephony using VoIP service, and Session Initiation Protocol (SIP) protocol is actively researched among various call setup protocols.

SIP에 기반한 VoIP 서비스는 SIP를 통한 호 제어 메시지(Call Signaling Message) 및 RTP 패킷을 이용한 통화 메시지를 사용하여 이루어진다. 호 제어 메시지에 의하여 사용자 등록, 통화 개시 요청 및 통화를 위한 정보가 교환되고, 통화 메시지에 의하여 실제 통화에 해당하는 음성 패킷이 교환된다. 전술한 SIP는 국제표준화기구 IETF(Internet Engineering Task Force)에서 규정한 국제표준인 RFC3261(SIP: Session Initiation Protocol)에 정의되어 있다. SIP-based VoIP services use call signaling messages over SIP and call messages using RTP packets. The call control message exchanges user registration, call initiation request, and information for a call, and the voice message corresponding to the actual call is exchanged by the call message. The aforementioned SIP is defined in RFC3261 (SIP: Session Initiation Protocol), which is an international standard defined by the Internet Organization Task Force (IETF).

그러나 VoIP 서비스는 호 제어 메시지 및 음성 패킷이 쉽게 노출되어, 노출된 패킷의 조작을 통해 과금 회피, 통화 종료 또는 서비스 거부 등의 공격을 받을 수 있는 보안상의 취약점이 있다. 이러한 취약점은 현재 활성화되고 있는 VoIP 서비스에 잠재적인 위협이 되며, IP 기간망에 장애를 일으키게 될 경우 큰 피해를 초래할 수도 있다. 따라서, 이러한 VoIP 서비스의 보안 위협에 대한 대응 방안이 필요하다. However, the VoIP service has a security vulnerability in which call control messages and voice packets are easily exposed, and thus, attacks such as billing avoidance, call termination or denial of service can be made through manipulation of the exposed packets. These vulnerabilities pose a potential threat to the currently active VoIP service and can cause significant damage if the IP backbone fails. Therefore, there is a need for countermeasures against security threats of VoIP services.

상기 종래 기술의 문제점을 해결하기 위한 본 발명은, SIP(Session Initiation Protocol)에 기반한 VoIP(Voice Over the Internet Protocol) 서비스에서 호 제어 메시지가 누출되어 조작되었을 경우에도 조작된 메시지를 사전에 차단함으로써 패킷에 의한 공격의 영향을 받지 않고 VoIP 서비스가 제공되도록 할 수 있는 호 제어 메시지의 보안 시스템 및 방법을 제공하는 것을 목적으로 한다. The present invention for solving the problems of the prior art, even if the call control message is leaked and manipulated in the Voice Over the Internet Protocol (VoIP) service based on Session Initiation Protocol (SIP) by blocking the message in advance It is an object of the present invention to provide a security system and method for call control messages that can provide VoIP services without being affected by an attack.

상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 호 제어 메시지의 보안 시스템은, 단말기와 서버 사이에 전송되는 호 제어 메시지(Call Signaling Message)를 수신하고, 수신된 호 제어 메시지 중 미리 설정된 형식에 대응되지 않는 호 제어 메시지를 차단하며, 차단되지 않은 호 제어 메시지를 전달하는 메시지 적합성 검증 모듈; 상기 메시지 적합성 검증 모듈로부터 호 제어 메시지를 전달받고, 전달된 호 제어 메시지 중 미리 저장된 차단리스트에 등록된 차단정보를 포함하는 호 제어 메시지를 차단하며, 차단되지 않은 호 제어 메시지를 전달하는 필터링 모듈; 및 상기 필터링 모듈로부터 호 제어 메시지를 전달받고, 전달된 호 제어 메시지 중 호 제어 메시지의 세션(session) 상태에 대응되지 않는 호 제어 메시지를 차단하며, 차단되지 않은 호 제어 메시지를 상기 단말기 또는 상기 서버에 전송하는 메시지 상태 검증 모듈을 포함하여 구성될 수 있다.Security system of a call control message according to an embodiment of the present invention for achieving the above object, receives a call signaling message (Call Signaling Message) transmitted between the terminal and the server, the preset format of the received call control message A message suitability verification module that blocks a call control message that does not correspond to and delivers an unblocked call control message; A filtering module which receives a call control message from the message suitability verification module, blocks a call control message including blocking information registered in a previously stored block list among the transferred call control messages, and delivers an unblocked call control message; And receiving a call control message from the filtering module, blocking a call control message that does not correspond to a session state of a call control message among the transferred call control messages, and transmitting an unblocked call control message to the terminal or the server. It can be configured to include a message status verification module to send to.

본 발명의 일 실시예에 따른 호 제어 메시지의 보안 방법은, 단말기와 서버 사이에 송수신되는 호 제어 메시지(Call Signaling Message)를 메시지 적합성 검증 모듈에서 수신하는 단계 (a); 상기 단계 (a)에서 수신된 호 제어 메시지 중 미리 설정된 형식에 대응되지 않는 호 제어 메시지를 차단하고, 차단되지 않은 호 제어 메시지를 필터링 모듈에 전달하는 단계 (b); 상기 단계 (b)에서 전달된 호 제어 메시지 중 미리 저장된 차단리스트에 등록된 차단정보를 포함하는 호 제어 메시지를 차단하고, 차단되지 않은 호 제어 메시지를 메시지 상태 검증 모듈에 전달하는 단계 (c); 및 상기 단계 (c)에서 전달된 호 제어 메시지 중 호 제어 메시지의 세션(session) 상태에 대응되지 않는 호 제어 메시지를 차단하고, 차단되지 않은 호 제어 메시지를 상기 단말기 또는 상기 서버에 전송하는 단계 (d)를 포함하여 구성될 수 있다.According to an aspect of the present invention, there is provided a method of securing a call control message, the method comprising: receiving a call control message (Call Signaling Message) transmitted and received between a terminal and a server in a message suitability verification module; (B) blocking a call control message that does not correspond to a preset format among the call control messages received in step (a), and forwarding the unblocked call control message to the filtering module; (C) blocking a call control message including blocking information registered in a pre-stored block list among the call control messages transmitted in step (b), and forwarding an unblocked call control message to a message state verification module; And blocking a call control message that does not correspond to a session state of the call control message among the call control messages transmitted in step (c), and transmitting an unblocked call control message to the terminal or the server ( and d).

본 발명의 일 실시예에 따른 호 제어 메시지의 보안 시스템 및 방법을 사용하면, SIP(Session Initiation Protocol)에 기반한 VoIP(Voice Over the Internet Protocol) 서비스에서 호 제어 메시지(Call Signaling Message)가 조작되어 통화 요청 또는 통화 중 통화 이상을 유발하는 것을 방지하고, 호 제어 메시지에 대한 공격을 사전에 차단할 수 있는 이점이 있다.Using a security system and method of a call control message according to an embodiment of the present invention, a call signaling message is manipulated in a Voice Over the Internet Protocol (VoIP) service based on a Session Initiation Protocol (SIP). There is an advantage that it is possible to prevent an abnormal call during a request or a call, and to proactively block an attack on a call control message.

이하에서, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 상세히 살펴본다.Hereinafter, with reference to the accompanying drawings looks at in detail with respect to the preferred embodiment of the present invention.

본 발명은 SIP(Session Initiation Protocol)에 기반한 VoIP(Voice Over the Internet Protocol) 서비스에서, 단말과 프록시 서버 사이에서 호 제어 메시지(Call Signaling Message)를 송수신하는 과정에서 받게 될 수 있는 공격에 대응하기 위한 호 제어 메시지의 보안 시스템 및 방법을 제공한다.The present invention is to respond to an attack that may be received in the process of transmitting and receiving a call signaling message between a terminal and a proxy server in a Voice Over the Internet Protocol (VoIP) service based on Session Initiation Protocol (SIP) Provides a security system and method for call control messages.

도 1은 SIP에 기반한 VoIP 서비스를 제공하는 시스템의 개략적인 구성을 도시한 블록도이다. 도 1을 참조하면, 발신자가 자신의 단말기(1)를 사용하여 호 접속을 요청할 경우, 발신측 프록시 서버(2) 및 수신측 프록시 서버(3)를 거쳐 수신자의 단말기(4)와 발신자의 단말기(1) 사이에 음성 통화가 연결된다. 1 is a block diagram illustrating a schematic configuration of a system for providing a VoIP service based on SIP. Referring to FIG. 1, when a caller requests a call connection using his terminal 1, the callee's terminal 4 and the caller's terminal are passed through the calling proxy server 2 and the receiving proxy server 3. The voice call is connected between (1).

이때 본 발명에 따른 호 제어 메시지의 보안 시스템(5)은 발신 단말기(1)와 발신측 프록시 서버(2) 사이에 연결될 수 있다. 그러나, 본 발명의 다른 실시예에서는 도 1에 도시된 실시예와 달리 호 제어 메시지의 보안 시스템(5)이 수신 단말기(4)와 수신측 프록시 서버(3)사이에 연결될 수도 있다. 호 제어 메시지의 보안 시스템(5)은 단말기와 서버 사이에 송수신되는 호 제어 메시지를 수신하고, 수신된 메시지가 적합한지의 여부를 검증하고, 차단리스트에 등록된 정보가 포함되었는지 여부와, 수신된 메시지가 세션(session) 상태에 적합한 메시지인지 여부를 검증하여, 유해한 메시지를 차단하고 적합한 메시지만이 송신되도록 한다. In this case, the security system 5 of the call control message according to the present invention may be connected between the calling terminal 1 and the calling proxy server 2. However, in another embodiment of the present invention, unlike the embodiment shown in Fig. 1, the security system 5 of the call control message may be connected between the receiving terminal 4 and the receiving proxy server 3. The security system of the call control message 5 receives the call control message transmitted and received between the terminal and the server, verifies whether the received message is suitable, whether the information registered in the block list is included, and the received message. Verifies that the message is suitable for the session state, blocking harmful messages and ensuring that only suitable messages are sent.

SIP에 기반한 호 제어 메시지는 요청 메시지(Request Message)와 응답 메시지(Response Message)로 구분된다. 요청 메시지는 INVITE, Cancel, BYE, Option 등 세션요청, 통화종료 및 상태확인 등의 요청을 수행하는 메시지이다. 응답 메시지는 100 Trying, 180 Ringing, 200 OK, ACK 등 요청에 대한 응답 또는 에러 통보 메시지이다. 하나의 호 제어 메시지는 하기 표 1과 같이 구성된다.SIP-based call control messages are divided into a request message and a response message. The request message is a message that performs a request for session, call termination and status check such as INVITE, Cancel, BYE, and Option. The response message is a response or error notification message for a request such as 100 Trying, 180 Ringing, 200 OK, or ACK. One call control message is configured as shown in Table 1 below.

Figure 112007084151594-pat00001
Figure 112007084151594-pat00001

상기 표 1에서 시작 줄은 메시지의 종류와 수신자 정보를 포함하며, 메시지 헤더는 통신에 필요한 필수 정보를 포함하고, 메시지 본문은 통신에 필요한 추가적인 정보를 포함한다. In Table 1, the start line includes message type and receiver information, the message header includes essential information necessary for communication, and the message body includes additional information required for communication.

SIP에서 메시지 헤더의 각 행에 위치한 항목은 필드(field)라고 칭하여지며, 이 중 Via, Max-Forwards, To, From, Call-ID, CSeq 의 6가지 필드는 필수 필드(mandatory field)로서 반드시 포함되어야 한다. Via 필드는 SIP 메시지가 경유한 단(hop)에 대한 정보, Max-Forwards 필드는 전송에 사용가능한 단(hop)의 수, To 필드는 수신자, From 필드는 발신자, Call-ID 필드는 해당 세션의 고유한 식별자, CSeq 필드는 메시지순서에 따라 1씩 증가하는 값이며 후술할 트랜젝션(transaction)을 식별하기 위한 식별자를 각각 나타낸다.In SIP, an item located in each line of a message header is called a field, and six fields of Via, Max-Forwards, To, From, Call-ID, and CSeq must be included as mandatory fields. Should be. The Via field is information about hops via a SIP message, the Max-Forwards field is the number of hops available for transmission, the To field is the receiver, the From field is the sender, and the Call-ID field is the The unique identifier, the CSeq field, is incremented by one in the message order and represents an identifier for identifying a transaction to be described later.

또한, 추가 필드로서 Route 및 Record-Route 필드는 전송에 있어 반드시 경 유할 서버 주소와 경유된 서버 주소를 각각 나타내며, Authorization 필드는 인증관련 정보를 나타낸다. SIP 메시지의 종류 및 메시지 헤더의 각 필드에 대한 상세한 설명은, 전술한 국제표준인 RFC3261에 상세히 기술되어 있어 본 발명이 속하는 기술 분야의 당업자에게 용이하게 이해될 수 있으므로 자세한 설명을 생략한다. In addition, as an additional field, the Route and Record-Route fields indicate a server address to pass through and a server address passed through, respectively, and an Authorization field indicates authentication related information. The type of the SIP message and a detailed description of each field of the message header are described in detail in the above-described international standard RFC3261, and thus will be easily understood by those skilled in the art to which the present invention pertains.

도 2는 본 발명의 일 실시예에 따른 호 제어 메시지의 보안 시스템의 구성을 도시한 블록도이다. 도 2를 참조하면, 상기 실시예에 따른 호 제어 메시지의 보안 시스템은 메시지 적합성 검증모듈(10), 필터링 모듈(20) 및 메시지 상태 검증 모듈(30)을 포함하여 구성된다. 2 is a block diagram illustrating a configuration of a security system of a call control message according to an embodiment of the present invention. Referring to FIG. 2, the call control message security system according to the embodiment includes a message suitability verification module 10, a filtering module 20, and a message status verification module 30.

먼저, 메시지 적합성 검증모듈(10)은 서버(2)와 단말기(1) 사이에서 호 제어를 위하여 송수신되는 호 제어 메시지를 수신하고, 수신한 메시지에서 각 필드(field)값을 파싱(Parsing)한다. 다음으로 메시지 적합성 검증모듈(10)은 각 필드에 기재된 값이 SIP의 기재 형식에 맞게 작성되었는지를 검사한다. 전술한 바와 같이 호 제어 메시지의 각 필드에 기재되는 값 및 그 형식은 RFC3261 표준에 의하여 규정되어 있다. First, the message suitability verification module 10 receives a call control message transmitted and received for call control between the server 2 and the terminal 1 and parses each field value in the received message. . Next, the message conformance verification module 10 checks whether the value described in each field is written in accordance with the description format of the SIP. As described above, the value and format of each field of the call control message are defined by the RFC3261 standard.

본 발명의 일 실시예에서, 메시지 적합성 검증 모듈(10)은 호 제어 메시지의 각 필드의 값에 유해 정보가 포함되지 않았는지 여부를 검사할 수도 있다. 여기서 유해 정보란, VoIP 서비스에 있어 서버의 사용자 인증을 우회할 가능성이 있는 부적합한 문자열을 의미하며, 예컨대 SIP의 기재 형식을 벗어나는 특수 문자(special character) 또는 구조화 조회 언어(Structured Query Language; SQL) 명령어 등이 이에 해당한다. 메시지 적합성 검증모듈(10)은 예컨대 From, To, Via, Call-ID, Max-Fowards, CSeq 필드와 같은 호 제어 메시지의 필수 필드, Route, Record-Route 필드와 같은 확장 필드 또는 Authorization, Proxy-Authorization 필드와 같은 인증 관련 필드 각각의 값에서 메시지가 적절하게 작성되었는지 여부와 전술한 유해 정보를 검색하여 해당 메시지가 조작되었는지 여부를 판단한다.In one embodiment of the present invention, the message conformance verification module 10 may check whether harmful information is not included in the value of each field of the call control message. In this case, the harmful information refers to an unsuitable character string that may bypass user authentication of a server in a VoIP service. For example, a special character or structured query language (SQL) command that is outside of the SIP format may be used. And the like. The message conformance verification module 10 may include, for example, mandatory fields of call control messages such as From, To, Via, Call-ID, Max-Fowards, CSeq fields, extended fields such as Route, Record-Route fields, or Authorization, Proxy-Authorization. In each value of authentication-related fields, such as fields, whether the message is properly created and the above-mentioned harmful information is searched to determine whether the message has been manipulated.

검색 결과 필드값이 적절하지 않거나 유해 정보를 포함하는 것으로 판단되면 메시지 적합성 검증모듈(10)에 의하여 차단되며, 차단되지 않은 메시지들은 후술하는 필터링 모듈로 전달된다. If it is determined that the search result field value is not appropriate or contains harmful information, the message suitability verification module 10 is blocked, and the unblocked messages are transmitted to the filtering module described later.

필터링 모듈(20)은 메시지 적합성 검증모듈(10)로부터 검증이 완료된 호 제어 메시지를 전달받고 미리 저장된 차단리스트에 등록된 차단정보를 포함하는 메시지를 차단하기 위한 모듈로, 차단리스트 DB(22) 및 필터링부(21)를 포함하여 구성된다. The filtering module 20 receives a call control message that has been verified from the message conformity verification module 10 and blocks a message including blocking information registered in a pre-stored block list. The block list DB 22 and It is configured to include a filter 21.

차단리스트 DB(22)에는 SIP 호 제어 메시지의 필드에 기반한 차단리스트가 미리 저장되며, 예컨대 SIP 호 제어 메시지의 필드값에 대한 문자열이 이에 해당된다. 본 발명의 일 실시예에서, 상기 차단리스트는 서비스 제공자에 의하여 미리 차단리스트 DB(22)에 입력될 수 있으며, 또는 SIP 프로토콜에 대한 침입탐지 시스템(IDS 등)을 통하여 차단리스트 DB(22)에 저장하도록 구성될 수도 있다.In the block list DB 22, a block list based on a field of the SIP call control message is stored in advance. For example, a string for a field value of the SIP call control message corresponds to the block list. In one embodiment of the present invention, the block list may be input to the block list DB 22 by the service provider in advance, or to the block list DB 22 through an intrusion detection system (IDS, etc.) for the SIP protocol. May be configured to store.

필터링부(21)는 차단리스트 DB(22)에 저장된 차단리스트를 사용하여 호 제어 메시지의 필터링을 수행한다. 본 발명의 일 실시예에서, 필터링부(21)는 호 제어 메시지의 헤더의 각 필드 값을 차단리스트에 등록된 문자열과 비교하여, 어느 하나의 필드가 차단리스트 상의 문자열을 포함하는 경우 해당 호 제어 메시지를 차단한다. 즉, 호 제어 메시지의 From, To, Via, Route 또는 Record-Route 등과 같은 필드에 기록된 문자열이 차단리스트에 등록되어 있을 경우 해당 호 제어 메시지는 차단된다.The filtering unit 21 filters the call control message using the block list stored in the block list DB 22. In one embodiment of the present invention, the filtering unit 21 compares the value of each field of the header of the call control message with the string registered in the block list, and if any one field includes the string on the block list, control the call. Block the message. That is, when a string recorded in a field such as From, To, Via, Route, or Record-Route of the call control message is registered in the block list, the call control message is blocked.

상기 차단리스트 DB(22)에 저장된 차단리스트는 필터링부(21)가 동작하기 전에 미리 관리자에서 기 수집된 차단리스트를 받고 입력되거나, SIP 프로토콜에 대한 침입탐지 시스템(IDS 등)에서 탐지된 결과의 분석을 통해 입력될 수 있다. 본 발명은 차단리스트에 기록되는 방법에 대해서는 한정하지 않는다.The block list stored in the block list DB 22 receives a block list pre-collected by an administrator before the filtering unit 21 operates, or the block list stored in the intrusion detection system (IDS, etc.) for the SIP protocol. Can be entered through analysis. The present invention is not limited to the method of being recorded in the block list.

상태 검증 모듈(30)은 메시지 적합성 검증모듈(10) 및 필터링 모듈(20)에 의해 검증이 완료된 호 제어 메시지를 전달받고, 전술한 RFC3261에 개시된 호 제어 메시지의 트랜젝션 플로우(transaction flow)에 기반하여 호 제어 메시지가 해당 메시지를 수신할 단말기 또는 서버에 저장된 세션 상태에 대응하는지 여부를 검증한다. 만약 호 제어 메시지가 세션 상태에 대응되지 않는 경우, 상태 검증 모듈(30)은 해당 호 제어 메시지가 조작된 것으로 판단하여 이를 차단한다.The state verification module 30 receives the call control message that has been verified by the message suitability verification module 10 and the filtering module 20, and is based on the transaction flow of the call control message disclosed in the aforementioned RFC3261. Verify that the call control message corresponds to the session state stored in the terminal or server that will receive the message. If the call control message does not correspond to the session state, the state verification module 30 determines that the call control message has been manipulated and blocks it.

SIP는 호 제어 메시지에 의하여 이를 수신한 단말기 또는 서버의 트랜젝션 층(transaction layer)의 해당 세션 상태가 천이되는 트랜젝션 기반 프로토콜이다. 트랜젝션 층이란 서버 또는 단말기에서 호 접속 상태에 따라 제어 메시지를 수신하기 위하여 사용되는 기능적인 모듈에 해당한다. 상태 천이에 따라 서버 또는 단말기가 수신 가능한 메시지의 종류가 상이하게 되므로, 본 발명에서는 이를 이용하여 적합하지 않은 메시지를 선별하고 차단한다. SIP is a transaction-based protocol in which a corresponding session state of a transaction layer of a terminal or server that receives it is transferred by a call control message. The transaction layer corresponds to a functional module used to receive a control message according to a call connection state in a server or a terminal. Since the types of messages that can be received by the server or the terminal are different according to the state transition, the present invention selects and blocks an unsuitable message by using the same.

도 3 내지 도 6은 호 제어 메시지에 의한 서버 및 단말기의 트랜젝션 층의 세션 상태 천이를 예시적으로 나타낸 도면들이다. SIP에 기반한 통신에 있어서 호 접속을 요청하는 메시지인 INVITE 메시지 또는 INVITE 메시지 이외의 메시지가 수신되는 각 경우의 서버 및 단말기의 세션 상태 변화에 대해서는 전술한 RFC3261에 상세하게 정의되어 있다. 따라서 본 발명의 기술 분야의 당업자는 이를 용이하게 이해할 수 있을 것이므로, 본 명세서에서는 개략적으로만 설명하기로 한다.3 to 6 exemplarily illustrate session state transition of a transaction layer of a server and a terminal by a call control message. In the SIP-based communication, the session state change of the server and the terminal in each case where an INVITE message or a message other than the INVITE message, which is a message for requesting a call connection, is received, is defined in detail in the aforementioned RFC3261. Therefore, those skilled in the art will be able to easily understand this, it will be described only schematically in this specification.

도 3은 통화 개시를 위한 INVITE 메시지가 서버로 유입되는 경우, 각 메시지의 수신에 따른 서버의 세션 상태 천이를 예시적으로 도시한다. 사각형은 서버측의 세션 상태를 도시하며, 사각형 사이의 화살표는 상태 천이를 도시하고, 화살표 옆에 병기된 문자 또는 숫자는 상태 천이에 필요한 메시지의 종류를 도시한다. FIG. 3 exemplarily illustrates a session state transition of a server according to reception of each message when an INVITE message for initiating a call flows into a server. The rectangles show the session state on the server side, the arrows between the rectangles show the state transitions, and the letters or numbers written next to the arrows show the kinds of messages required for the state transitions.

도 3을 참조하면, 최초로 INVITE 메시지가 서버로 유입될 때 서버측의 해당 세션 상태는 진행(Proceeding) 상태로 천이된다. 이 상태에서 서버는 INVITE 메시지, 1XX 응답, 2XX 응답, 3XX 내지 응답 및 전송 에러(transport error) 등의 메시지를 수신할 수 있다. 또한, 300 내지 699 응답이 수신되는 경우 세션 상태는 완료(Completed) 상태로 천이된다. 또한, 완료(Completed) 상태에서 수신 확인(ACK) 메시지가 수신되면 확인(Confirmed) 상태로 천이되며, 확인(Confirmed) 상태에서 타이머(Timer) 메시지를 수신할 경우 종료(Terminated) 상태로 천이된다.Referring to FIG. 3, when an INVITE message first flows into a server, the corresponding session state on the server side transitions to a proceeding state. In this state, the server may receive messages such as INVITE message, 1XX response, 2XX response, 3XX to response, and transport error. In addition, when a 300 to 699 response is received, the session state transitions to the completed state. In addition, when the ACK message is received in the Completed state, the terminal transitions to the Confirmed state. When the timer message is received in the Confirmed state, the terminal transitions to the Terminated state.

도 4는 INVITE 메시지 이외의 메시지가 수신되는 경우 서버측의 세션 상태 천이 및 각 상태에서 수신 가능한 메시지의 종류를 도시한다. 도시되는 바와 같이, 세션 상태는 수신된 메시지에 따라 시도(Trying), 진행(Proceeding), 완료(Completed) 및 종료(Terminated)의 상태로 천이하게 된다. FIG. 4 illustrates the transition of the session state on the server side and the types of messages that can be received in each state when a message other than the INVITE message is received. As shown, the session state transitions to the states of Trying, Proceeding, Completed and Terminated according to the received message.

한편, 도 5 및 도 6은 각각 INVITE 메시지를 수신한 경우와 INVITE 메시지 이외의 메시지를 수신한 경우 단말기측의 세션 상태 변화를 도시한다. 도 5를 참조하면, INVITE 메시지를 수신한 단말기측의 세션 상태는 발신(Calling), 진행(Proceeding), 완료(Completed), 종료(Terminated)의 상태를 메시지 상태에 따라 천이하게 된다. 한편 도 6을 참조하면, INVITE 메시지 이외의 메시지를 수신한 단말기측의 세션 상태는 시도(Trying), 진행(Proceeding), 완료(Completed) 및 종료(Terminated)의 상태를 메시지 상태에 따라 천이하게 된다. 도 3과 마찬가지로, 도 5 및 도 6에도 각각의 상태 사이를 천이하기 위하여 필요한 메시지의 종류 및 상태 천이가 문자 및 화살표로 도시된다. 5 and 6 illustrate changes in session state on the terminal side when an INVITE message is received and when a message other than the INVITE message is received, respectively. Referring to FIG. 5, the session state of the terminal receiving the INVITE message transitions the states of Calling, Proceeding, Completed, and Terminated according to the message state. Meanwhile, referring to FIG. 6, the session state of the terminal that receives a message other than the INVITE message transitions the states of Trying, Proceeding, Completed, and Terminated according to the message state. . Similarly to FIG. 3, the types and state transitions of the messages required to transition between the respective states are also shown by letters and arrows in FIGS. 5 and 6.

다시 도 2를 참조하면, 상태 검증 모듈(30)은 서버 상태 DB(32), 단말기 상태 DB(33) 및 상태 검증부(31)를 포함하여 구성된다. 서버 상태 DB(32)는 서버의 트랜젝션 층의 세션 상태 정보를 저장하며, 단말기 상태 DB(33)는 단말기의 트랜젝션 층의 세션 상태 정보를 저장한다. 상태 검증부(31)는, 필터링 모듈(20)로부터 호 제어 메시지를 전달받고, 호 제어 메시지가 수신될 서버 또는 단말기에서 해당하는 세션의 상태 정보를 조회하여 메시지가 적합한지 여부를 검증한다. Referring back to FIG. 2, the state verifying module 30 includes a server state DB 32, a terminal state DB 33, and a state verifying unit 31. The server state DB 32 stores session state information of the transaction layer of the server, and the terminal state DB 33 stores session state information of the transaction layer of the terminal. The state verification unit 31 receives the call control message from the filtering module 20 and verifies whether the message is suitable by inquiring the state information of the corresponding session in the server or the terminal to which the call control message is to be received.

SIP 기반 VoIP에서 호 제어 메시지에 의하여 제어되는 각각의 호는 메시지 헤더의 Call-ID 필드 등에 기록되는 고유값을 가지게 되며, 상태 검증부(31)는 이러한 고유값을 서버 상태 DB(32) 또는 단말기 상태 DB(33)에서 검색함으로써, 전달된 호 제어 메시지를 수신할 서버 또는 단말기에서 해당하는 세션의 상태를 조회할 수 있다.Each call controlled by the call control message in SIP-based VoIP has a unique value recorded in the Call-ID field of the message header and the like, and the status verification unit 31 stores the unique value in the server status DB 32 or the terminal. By searching in the state DB 33, it is possible to inquire the state of the session corresponding to the server or terminal to receive the transferred call control message.

즉, 발신 단말기(1)로부터 발신측 프록시 서버(2)에 전송되기 위한 호 제어 메시지가 전달된 경우, 상태 검증부(30)는 메시지를 수신할 발신측 프록시 서버(2)의 해당 세션 상태 정보를 서버 상태 DB(32)로부터 조회한다. 그리고 전달된 호 제어 메시지가 현재 상태에 적합한 경우 이를 발신측 프록시 서버(2)에 전송하며, 현재 상태에 적합하지 않은 경우에는 이를 조작된 메시지로 보아 차단한다. 예컨대, 도 3을 참조하면, 상태 검증부(31)가 서버 상태 DB(32)를 조회한 결과 발신측 프록시 서버(2)가 완료(Completed) 상태에 있을 경우, 필터링 모듈(20)로부터 1XX 또는 2XX 메시지가 유입되었다면, 이는 발신측 프록시 서버(2)의 현재 세션 상태에 대응되지 않는 것이므로 해당 호 제어 메시지는 차단된다. That is, when a call control message for transmission from the originating terminal 1 to the originating proxy server 2 is delivered, the state verifying unit 30 receives corresponding session state information of the originating proxy server 2 to receive the message. Is retrieved from the server status DB 32. If the forwarded call control message is suitable for the current state, the call control message is transmitted to the originating proxy server 2. If the call control message is not suitable for the current state, the call control message is blocked. For example, referring to FIG. 3, when the origin verification server 31 inquires the server state DB 32 and the originating proxy server 2 is in the Completed state, the filtering module 20 receives 1XX or the like. If a 2XX message is introduced, it does not correspond to the current session state of the originating proxy server 2 and therefore the call control message is blocked.

반대로, 발신측 프록시 서버(2)로부터 발신 단말기(1)에 전송되기 위한 호 제어 메시지가 전달된 경우라면, 상태 검증부(31)는 단말기 상태 DB(33)로부터 발신 단말기(1)의 해당 세션 상태 정보를 조회한다. 마찬가지로 상태 검증부(31)는 호 제어 메시지가 발신 단말기(1)의 현재 상태에 적합할 경우 이를 발신 단말기(1)에 전송하며, 현재 상태에 적합하지 않은 경우에는 조작된 메시지로 판단하여 차단한다. On the contrary, if the call control message for transmission from the originating proxy server 2 to the originating terminal 1 is transmitted, the state verifying unit 31 sends the corresponding session of the originating terminal 1 from the terminal state DB 33. Inquire status information. Similarly, the status verification unit 31 transmits the call control message to the calling terminal 1 when the call control message is suitable for the current state of the calling terminal 1, and determines that the call control message is an operated message and blocks it. .

또한, 본 발명의 일 실시예에서는, 필터링 모듈(20)로부터 전달된 호 제어 메시지에 대응하는 세션 상태 정보가 서버 상태 DB(32) 또는 단말기 상태 DB(33)에 저장되어 있지 않은 경우, 상태 검증부(31)는 해당 호 제어 메시지로 인한 서버 또는 단말기의 세션 상태 변화를 해당 DB에 저장할 수도 있다.In addition, in one embodiment of the present invention, if the session state information corresponding to the call control message transmitted from the filtering module 20 is not stored in the server state DB 32 or the terminal state DB 33, the state verification The unit 31 may store the session state change of the server or the terminal due to the call control message in the DB.

도 7은 본 발명의 일 실시예에 따른 호 제어 메시지의 보안 방법의 각 단계를 도시한 순서도이다. 도 2 및 도 7을 참조하면, 상기 실시예에 따른 호 제어 메시지의 보안 방법은 메시지 적합성 검증모듈(10)이 단말기 또는 서버로부터 SIP에 기반한 호 제어 메시지를 수신하는 것으로 시작된다(S1). 메시지 적합성 검증모듈(10)은 수신된 호 제어 메시지를 각 필드값으로 구분하고, 메시지의 각 필드가 미리 설정된 형식에 적합한지 여부, 특히 인증필드에 특수 문자(special character) 또는 구조화 조회 언어(Structured Query Language; SQL) 명령어와 같은 미리 설정된 유해 정보가 포함되어 있는지 여부를 검사한다(S2). 메시지 형식이 적합하지 않거나 유해 정보가 포함된 메시지는 메시지 적합성 검증모듈(10)에 의해 차단된다(S5). 7 is a flowchart illustrating each step of the method for securing a call control message according to an embodiment of the present invention. 2 and 7, the method for securing a call control message according to the embodiment starts with the message conformance verification module 10 receiving a call control message based on a SIP from a terminal or a server (S1). The message suitability verification module 10 classifies the received call control message into the values of each field and checks whether each field of the message conforms to a preset format, in particular a special character or structured query language in the authentication field. It is checked whether predetermined harmful information such as a Query Language (SQL) command is included (S2). If the message format is not appropriate or contains harmful information, the message is blocked by the message suitability verification module 10 (S5).

메시지 적합성 검증모듈(10)은 적정한 메시지를 가지고 있는 호 제어 메시지를 필터링 모듈(20)로 전달한다. 필터링 모듈(20)은 전달된 호 제어 메시지가 차단 리스트에 등록된 필드의 문자열을 포함하는지 여부를 검사한다(S3). 차단 리스트 상의 필드에 대한 문자열을 포함하는 메시지는 필터링 모듈(20)에 의해 차단된다(S5). 차단 리스트에 등록되는 필드의 문자열은, 예컨대, 조작된 패킷을 전송하는 서버 주소 등이 해당될 수 있으며, 복수 개의 필드에 대한 문자열을 포함하는 차단 리스트가 차단 리스트 DB(22)에 미리 저장된다. 필터링 모듈(20)의 필터링부(21)는 차단 리스트 DB(22)로부터 차단 리스트를 조회하여 해당하는 호 제어 메시지를 차단한다. The message conformance verification module 10 transmits a call control message having an appropriate message to the filtering module 20. The filtering module 20 checks whether the transferred call control message includes a string of fields registered in the block list (S3). The message including the string for the field on the block list is blocked by the filtering module 20 (S5). The string of the field registered in the block list may correspond to, for example, a server address for transmitting the manipulated packet, and the block list including the strings for the plurality of fields is stored in the block list DB 22 in advance. The filtering unit 21 of the filtering module 20 inquires a block list from the block list DB 22 to block a corresponding call control message.

필터링 모듈(20)에 의해 필터링이 완료된 호 제어 메시지는 메시지 상태 검증 모듈(30)로 전달된다. 메시지 상태 검증 모듈(30)은 전달된 호 제어 메시지가 호 제어 메시지를 수신할 서버 또는 단말기에서 해당하는 세션의 상태에 적합한지 여부를 판단한다(S4). 수신 대상 단말기 또는 서버의 상태에 적합하지 않은 호 제어 메시지는 차단된다(S5). The call control message that has been filtered by the filtering module 20 is transmitted to the message status verification module 30. The message state verification module 30 determines whether the transferred call control message is suitable for the state of the corresponding session in the server or the terminal that will receive the call control message (S4). The call control message that is not suitable for the state of the receiving target terminal or server is blocked (S5).

SIP에 기반한 단말기 및 서버측의 세션 상태 정보는 각각 단말기 상태 DB(33) 및 서버 상태 DB(32)에 저장되며, 상태 검증 모듈의 상태 검증부(31)는 호 제어 메시지를 수신할 대상에 따라 단말기 상태 DB(33) 또는 서버 상태 DB(32)를 조회하여 적합하지 않은 메시지를 선별하여 차단한다. 한편, 차단되지 않은 나머지 호 제어 메시지는 메시지의 수신 대상에 따라 단말기 또는 서버로 전송된다(S6).Session state information of the terminal and server side based on the SIP is stored in the terminal state DB 33 and the server state DB 32, respectively, and the state verifying unit 31 of the state verifying module according to the target to receive the call control message. The terminal state DB 33 or the server state DB 32 are queried to screen out inappropriate messages. On the other hand, the remaining call control messages that are not blocked are transmitted to the terminal or the server according to the reception target of the message (S6).

도 8은 본 발명의 일 실시예에 따른 호 제어 메시지의 보안 방법에서 호 제어 메시지의 상태 검증 과정의 각 단계를 도시한 순서도이다. 도 2 및 도 8을 참조하면, 우선 상태 검증 모듈(30)은 필터링 모듈(20)로부터 호 제어 메시지를 전달받는다(S41). 호 제어 메시지가 전달되면, 상태 검증 모듈(30)의 상태 검증부(31)는 해당 호 제어 메시지에 대응하는 세션 상태 정보가 메시지의 서버 상태 DB(32) 또는 단말기 상태 DB(33)에 저장되어 있는지 조회한다(S42).8 is a flowchart illustrating each step of a process of verifying a state of a call control message in a method for securing a call control message according to an embodiment of the present invention. 2 and 8, first, the state verification module 30 receives a call control message from the filtering module 20 (S41). When the call control message is delivered, the state verification unit 31 of the state verification module 30 stores session state information corresponding to the call control message in the server state DB 32 or the terminal state DB 33 of the message. Inquire (S42).

예컨대 호 제어 메시지가 서버로부터 단말기에 전송되는 경우 상태 검증부(31)는 단말기 상태 DB(33)를 조회하며, 단말기로부터 서버에 전송되는 경우에는 서버 상태 DB(32)를 조회한다. 본 발명의 일 실시예에서, 조회 결과 호 제어 메시지에 해당하는 세션 상태 정보가 저장되어 있지 않을 경우, 상태 검증부(31)는 해당 호 제어 메시지에 의한 세션 상태 정보를 서버 상태 DB(32) 또는 단말기 상태 DB(33)에 저장할 수도 있다(S43). For example, when the call control message is transmitted from the server to the terminal, the state verification unit 31 inquires the terminal state DB 33, and when the call control message is transmitted from the terminal to the server, inquires the server state DB 32. In one embodiment of the present invention, if the session state information corresponding to the inquiry result call control message is not stored, the state verifying unit 31 transmits the session state information according to the call control message to the server state DB 32 or the like. It may be stored in the terminal state DB 33 (S43).

서버 상태 DB(32) 또는 단말기 상태 DB(33)를 조회한 결과, 전달된 호 제어 메시지에 대응하는 세션 상태 정보가 저장되어 있을 경우, 상태 검증부(31)는 해당 호 제어 메시지가 단말기로부터 전송된 메시지인지 여부를 판단한다(S44). 그리고 호 제어 메시지가 단말기로부터 전송된 경우에는 서버 상태 DB(32)를 조회하여 호 제어 메시지가 서버측의 현재 세션 상태에 적합한지 여부를 판단한다(S45). 한편 호 제어 메시지가 단말기로부터 전송된 것이 아닐 경우, 즉 서버로부터 전송된 경우에는 단말기 상태 DB(33)를 조회하여 호 제어 메시지가 단말기측의 현재 세션 상태에 적합한지 여부를 판단한다(S46). When the server state DB 32 or the terminal state DB 33 is inquired and the session state information corresponding to the transferred call control message is stored, the state verification unit 31 transmits the call control message from the terminal. It is determined whether the message is a message (S44). When the call control message is transmitted from the terminal, the server state DB 32 is queried to determine whether the call control message is suitable for the current session state of the server (S45). If the call control message is not transmitted from the terminal, that is, from the server, the terminal state DB 33 is queried to determine whether the call control message is suitable for the current session state of the terminal (S46).

이상에서 살펴본 본 발명의 일 실시예에 따른 호 제어 메시지의 보안 시스템 및 방법을 사용하면, SIP에 기반한 VoIP 서비스에서 송수신되는 호 제어 메시지 중 형식에 적합하지 않거나 유해 정보가 포함되었거나, 차단 리스트에 등록된 필드의 문자열이 포함되었거나, 메시지의 수신 대상 단말기 또는 서버의 트랜젝션 상태에 대응되지 않는 메시지를 차단함으로써 조작된 호 제어 메시지가 유입되는 것을 방지할 수 있다. 따라서, VoIP 서비스에서 통화 요청 또는 통화 중 통화 이상이 유발되는 것을 방지하고, 호 제어 메시지에 의한 공격을 사전에 차단할 수 있는 이점이 있다.When using the security system and method of the call control message according to an embodiment of the present invention described above, the call control messages transmitted and received in the SIP-based VoIP service does not conform to the format or contains harmful information, or registered in the block list The blocked call message may be prevented from being introduced by blocking a message that does not correspond to a transaction state of a terminal or a server receiving a message. Therefore, there is an advantage that can prevent a call request or a call abnormality during the call in the VoIP service, and can prevent the attack by the call control message in advance.

이상 본 발명의 특정 실시예를 도시하고 설명하였으나, 본 발명의 기술사상은 첨부된 도면과 상기한 설명내용에 한정하지 않으며 본 발명의 사상을 벗어나지 않는 범위 내에서 다양한 형태의 변형이 가능함은 이 분야의 통상의 지식을 가진 자에게는 자명한 사실이며, 이러한 형태의 변형은, 본 발명의 정신에 위배되지 않는 범위 내에서 본 발명의 특허청구범위에 속한다고 볼 것이다. While specific embodiments of the present invention have been illustrated and described, the technical spirit of the present invention is not limited to the accompanying drawings and the above description, and various modifications can be made without departing from the spirit of the present invention. It will be apparent to those skilled in the art, and variations of this form will be regarded as belonging to the claims of the present invention without departing from the spirit of the present invention.

도 1은 SIP 기반 VoIP 서비스 시스템의 구성을 도시한 블록도이다.1 is a block diagram showing the configuration of a SIP-based VoIP service system.

도 2는 본 발명의 일 실시예에 따른 호 제어 메시지의 보안 시스템의 구성을 도시한 블록도이다.2 is a block diagram illustrating a configuration of a security system of a call control message according to an embodiment of the present invention.

도 3 및 도 4는 SIP 기반 VoIP 서비스 시스템에서 호 제어 메시지 수신에 따른 서버의 세션 상태 천이를 예시적으로 도시한 개략도이다.3 and 4 are schematic diagrams illustrating a session state transition of a server according to a call control message reception in a SIP-based VoIP service system.

도 5 및 도 6은 SIP 기반 VoIP 서비스 시스템에서 호 제어 메시지 수신에 따른 단말기의 세션 상태 천이를 예시적으로 도시한 개략도이다.5 and 6 are schematic diagrams illustrating a session state transition of a terminal according to a call control message reception in a SIP-based VoIP service system.

도 7은 본 발명의 일 실시예에 따른 호 제어 메시지의 보안 방법의 각 단계를 도시한 순서도이다. 7 is a flowchart illustrating each step of the method for securing a call control message according to an embodiment of the present invention.

도 8은 본 발명의 일 실시예에 따른 호 제어 메시지의 보안 방법에서 메시지 상태 검증 과정의 각 단계를 도시한 순서도이다.8 is a flowchart illustrating each step of a message status verification process in the method for securing a call control message according to an embodiment of the present invention.

Claims (14)

단말기와 서버 사이에 전송되는 호 제어 메시지(Call Signaling Message)를 수신하고, 수신된 호 제어 메시지 중 미리 설정된 형식에 대응되지 않는 호 제어 메시지를 차단하며, 차단되지 않은 호 제어 메시지를 전달하는 메시지 적합성 검증 모듈;Message suitability for receiving a call signaling message transmitted between the terminal and the server, blocking a call control message that does not correspond to a preset format among the received call control messages, and delivering an unblocked call control message. Verification module; 상기 메시지 적합성 검증 모듈로부터 호 제어 메시지를 전달받고, 전달된 호 제어 메시지 중 미리 저장된 차단리스트에 등록된 차단정보를 포함하는 호 제어 메시지를 차단하며, 차단되지 않은 호 제어 메시지를 전달하는 필터링 모듈; 및A filtering module which receives a call control message from the message suitability verification module, blocks a call control message including blocking information registered in a previously stored block list among the transferred call control messages, and delivers an unblocked call control message; And 상기 필터링 모듈로부터 호 제어 메시지를 전달받고, 전달된 호 제어 메시지 중 호 제어 메시지의 세션(session) 상태에 대응되지 않는 호 제어 메시지를 차단하며, 차단되지 않은 호 제어 메시지를 상기 단말기 또는 상기 서버에 전송하는 메시지 상태 검증 모듈을 포함하는 것을 특징으로 하는 호 제어 메시지의 보안 시스템. Receives a call control message from the filtering module, blocks a call control message that does not correspond to a session state of the call control message, and sends an unblocked call control message to the terminal or the server. And a message status verification module for transmitting. 제 1항에 있어서, The method of claim 1, 상기 미리 설정된 형식은 RFC 3261의 규격에 따르는 것을 특징으로 하는 호 제어 메시지의 보안 시스템.And said preset format is in accordance with the standard of RFC 3261. 제 1항에 있어서, The method of claim 1, 상기 메시지 적합성 검증 모듈은 수신된 호 제어 메시지 중 미리 설정된 유해 정보를 포함하는 호 제어 메시지를 차단하며, The message suitability verification module blocks a call control message including preset harmful information among the received call control messages, 상기 미리 설정된 유해 정보는, 특수 문자(special character) 및 구조화 조회 언어(Structured Query Language; SQL) 명령어인 것을 특징으로 하는 호 제어 메시지의 보안 시스템.The preset harmful information is a special character and a structured query language (SQL) command, characterized in that the call control message security system. 제 1항에 있어서, The method of claim 1, 상기 호 제어 메시지는 복수 개의 필드(field)를 포함하며,The call control message includes a plurality of fields, 상기 필터링 모듈은, The filtering module, 호 제어 메시지의 하나 이상의 상기 필드에 대한 하나 이상의 문자열이 등록된 차단리스트를 저장하는 차단리스트 DB; 및 A block list DB for storing a block list in which one or more strings for one or more of the fields of the call control message are registered; And 상기 차단리스트에 등록된 상기 하나 이상의 문자열을 포함하는 호 제어 메시지를 차단하는 필터링부를 포함하는 것을 특징으로 하는 호 제어 메시지의 보안 시스템. And a filtering unit to block a call control message including the at least one string registered in the block list. 제 1항에 있어서, The method of claim 1, 상기 단말기 및 상기 서버는 상기 호 제어 메시지에 대응하는 세션 상태 정보를 저장하며, 상기 세션 상태는 상기 호 제어 메시지가 수신됨에 따라 미리 설정된 복수 개의 상태 사이를 천이하고, The terminal and the server store session state information corresponding to the call control message, the session state transitions between a plurality of preset states as the call control message is received, 상기 상태 검증 모듈은, The state verification module, 상기 서버의 세션 상태 정보를 저장하는 서버 상태 DB;A server state DB for storing session state information of the server; 상기 단말기의 세션 상태 정보를 저장하는 단말기 상태 DB; 및 A terminal state DB for storing session state information of the terminal; And 상기 서버 상태 DB 또는 상기 단말기 상태 DB를 조회하여, 전달된 호 제어 메시지를 수신할 상기 단말기 또는 상기 서버의 세션 상태에 대응되지 않는 호 제어 메시지를 차단하는 상태 검증부를 포함하는 것을 특징으로 하는 호 제어 메시지의 보안 시스템. And a state verification unit for querying the server state DB or the terminal state DB, and blocking a call control message that does not correspond to the session state of the terminal or the server to receive the transferred call control message. Security system of the message. 제 5항에 있어서, The method of claim 5, 상기 상태 검증부는, The state verification unit, 상기 서버 상태 DB 또는 상기 단말기 상태 DB를 조회한 결과 전달된 호 제어 메시지에 대응하는 세션 상태 정보가 저장되어 있지 않은 경우, 상기 호 제어 메시지에 대응하는 세션 상태 정보를 상기 서버 상태 DB 또는 상기 단말기 상태 DB에 저장하는 것을 특징으로 하는 호 제어 메시지의 보안 시스템.If session state information corresponding to a call control message transmitted as a result of querying the server state DB or the terminal state DB is not stored, the session state information corresponding to the call control message is stored in the server state DB or the terminal state. Security system of a call control message, characterized in that stored in the DB. 제 1항에 있어서, The method of claim 1, 상기 호 제어 메시지는, SIP(Session Initiation Protocol)을 사용하여 생성된 것을 특징으로 하는 호 제어 메시지의 보안 시스템. The call control message, the call control message security system, characterized in that generated using the Session Initiation Protocol (SIP). 단말기와 서버 사이에 송수신되는 호 제어 메시지(Call Signaling Message)를 메시지 적합성 검증 모듈에서 수신하는 단계 (a);Receiving a call control message (Call Signaling Message) transmitted and received between the terminal and the server in the message conformance verification module (a); 상기 단계 (a)에서 수신된 호 제어 메시지 중 미리 설정된 형식에 대응되지 않는 호 제어 메시지를 차단하고, 차단되지 않은 호 제어 메시지를 필터링 모듈에 전달하는 단계 (b);(B) blocking a call control message that does not correspond to a preset format among the call control messages received in step (a), and forwarding the unblocked call control message to the filtering module; 상기 단계 (b)에서 전달된 호 제어 메시지 중 미리 저장된 차단리스트에 등록된 차단정보를 포함하는 호 제어 메시지를 차단하고, 차단되지 않은 호 제어 메시지를 메시지 상태 검증 모듈에 전달하는 단계 (c); 및 (C) blocking a call control message including blocking information registered in a pre-stored block list among the call control messages transmitted in step (b), and forwarding an unblocked call control message to a message state verification module; And 상기 단계 (c)에서 전달된 호 제어 메시지 중 호 제어 메시지의 세션(session) 상태에 대응되지 않는 호 제어 메시지를 차단하고, 차단되지 않은 호 제어 메시지를 상기 단말기 또는 상기 서버에 전송하는 단계 (d)를 포함하는 것을 특징으로 하는 호 제어 메시지의 보안 방법. Blocking a call control message not corresponding to a session state of the call control message among the call control messages transmitted in step (c), and transmitting an unblocked call control message to the terminal or the server (d) The call control message security method comprising a). 제 8항에 있어서, The method of claim 8, 상기 미리 설정된 형식은 RFC 3261의 규격에 따르는 것을 특징으로 하는 호 제어 메시지의 보안 방법.The preset format is a security method of a call control message, characterized in that the standard of RFC 3261. 제 8항에 있어서, The method of claim 8, 상기 단계 (b)는, Step (b) is, 수신된 호 제어 메시지 중 미리 설정된 유해 정보를 포함하는 호 제어 메시지를 차단하는 단계를 포함하며, Blocking a call control message including preset harmful information among received call control messages; 상기 미리 설정된 유해 정보는, 특수 문자(special character) 및 구조화 조회 언어(Structured Query Language; SQL) 명령어인 것을 특징으로 하는 호 제어 메시지의 보안 방법.The preset harmful information is a special character and a structured query language (SQL) command. 제 8항에 있어서, The method of claim 8, 상기 호 제어 메시지는 복수 개의 필드(field)를 포함하고,The call control message includes a plurality of fields, 상기 미리 저장된 차단 리스트는 상기 호 제어 메시지의 하나 이상의 상기 필드에 대한 하나 이상의 문자열을 포함하며, The pre-stored block list includes one or more strings for one or more of the fields of the call control message, 상기 단계 (c)는, Step (c) is, 상기 차단리스트에 포함된 상기 하나 이상의 문자열을 포함하는 호 제어 메시지를 차단하는 단계를 포함하는 것을 특징으로 하는 호 제어 메시지의 보안 방 법. Blocking a call control message including the at least one string included in the block list. 제 8항에 있어서, The method of claim 8, 상기 단말기 및 상기 서버는 상기 호 제어 메시지에 대응하는 세션 상태 정보를 저장하며, 상기 세션 상태는 상기 호 제어 메시지가 수신됨에 따라 미리 설정된 복수 개의 상태 사이를 천이하고, The terminal and the server store session state information corresponding to the call control message, the session state transitions between a plurality of preset states as the call control message is received, 상기 단계 (d)는, Step (d) is, 전달된 호 제어 메시지를 수신할 상기 단말기 또는 상기 서버의 세션 상태 정보를 단말기 상태 DB 또는 서버 상태 DB에서 조회하는 단계를 포함하는 것을 특징으로 하는 호 제어 메시지의 보안 방법. Querying, from a terminal state DB or a server state DB, session state information of the terminal or server to receive the transferred call control message. 제 12항에 있어서, The method of claim 12, 상기 단계 (d)는, Step (d) is, 전달된 호 제어 메시지에 대응하는 세션 상태 정보가 상기 단말기 상태 DB 또는 상기 서버 상태 DB에 저장되어 있지 않은 경우, 상기 호 제어 메시지에 대응하는 세션 상태 정보를 상기 서버 상태 DB 또는 상기 단말기 상태 DB에 저장하는 단계를 더 포함하는 것을 특징으로 하는 호 제어 메시지의 보안 방법.If session state information corresponding to the transferred call control message is not stored in the terminal state DB or the server state DB, the session state information corresponding to the call control message is stored in the server state DB or the terminal state DB. And further comprising the step of: making a call control message. 제 8항에 있어서, The method of claim 8, 상기 호 제어 메시지는, SIP(Session Initiation Protocol)을 사용하여 생성된 것을 특징으로 하는 호 제어 메시지의 보안 방법. The call control message is a security method of a call control message, characterized in that generated using the Session Initiation Protocol (SIP).
KR1020070119812A 2007-11-22 2007-11-22 Security system and securing method of call signaling messages for session initiation protocol based voice over the internet protocol service KR100852145B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020070119812A KR100852145B1 (en) 2007-11-22 2007-11-22 Security system and securing method of call signaling messages for session initiation protocol based voice over the internet protocol service
US12/181,607 US20090138954A1 (en) 2007-11-22 2008-07-29 SECURITY SYSTEM AND SECURING METHOD OF CALL SIGNALING MESSAGES FOR SESSION INITIATION PROTOCOL BASED VoIP SERVICE

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070119812A KR100852145B1 (en) 2007-11-22 2007-11-22 Security system and securing method of call signaling messages for session initiation protocol based voice over the internet protocol service

Publications (1)

Publication Number Publication Date
KR100852145B1 true KR100852145B1 (en) 2008-08-13

Family

ID=39881739

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070119812A KR100852145B1 (en) 2007-11-22 2007-11-22 Security system and securing method of call signaling messages for session initiation protocol based voice over the internet protocol service

Country Status (2)

Country Link
US (1) US20090138954A1 (en)
KR (1) KR100852145B1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101011221B1 (en) * 2008-12-23 2011-01-26 한국인터넷진흥원 Detection and block system for hacking attack of internet telephone using the SIP-based and method thereof
KR101088852B1 (en) * 2009-12-09 2011-12-06 한국인터넷진흥원 System for detecting toll fraud attack for internet telephone and method for the same
KR101388627B1 (en) 2013-11-07 2014-04-24 한국인터넷진흥원 Apparatus for blocking abnormal traffic in 4g mobile network
KR101388628B1 (en) 2013-11-07 2014-04-24 한국인터넷진흥원 Method for blocking abnormal traffic in 4g mobile network
KR20160086584A (en) * 2015-01-12 2016-07-20 주식회사 엔터플 Method and apparatus for secured communication using predefined url

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11582331B2 (en) * 2020-08-10 2023-02-14 T-Mobile Usa, Inc. Handling SIP messages with malformed header fields

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060044493A (en) * 2004-03-24 2006-05-16 엑서스테크놀러지 주식회사 Authentication system being capable of controlling authority based of user and authenticator

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6757732B1 (en) * 2000-03-16 2004-06-29 Nortel Networks Limited Text-based communications over a data network
US7886348B2 (en) * 2003-10-03 2011-02-08 Verizon Services Corp. Security management system for monitoring firewall operation
US8135022B2 (en) * 2005-05-26 2012-03-13 Xconnect Global Networks Ltd. Detection of SPIT on VoIP calls
US7992205B2 (en) * 2005-08-12 2011-08-02 Cisco Technology, Inc. Method and system device for deterring spam over internet protocol telephony and spam instant messaging
US20070091907A1 (en) * 2005-10-03 2007-04-26 Varad Seshadri Secured media communication across enterprise gateway
US20070101144A1 (en) * 2005-10-27 2007-05-03 The Go Daddy Group, Inc. Authenticating a caller initiating a communication session
US20070150773A1 (en) * 2005-12-19 2007-06-28 Nortel Networks Limited Extensions to SIP signaling to indicate SPAM
KR100910581B1 (en) * 2007-09-05 2009-08-03 한국전자통신연구원 System and method for filtering spam of sip based

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060044493A (en) * 2004-03-24 2006-05-16 엑서스테크놀러지 주식회사 Authentication system being capable of controlling authority based of user and authenticator

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101011221B1 (en) * 2008-12-23 2011-01-26 한국인터넷진흥원 Detection and block system for hacking attack of internet telephone using the SIP-based and method thereof
KR101088852B1 (en) * 2009-12-09 2011-12-06 한국인터넷진흥원 System for detecting toll fraud attack for internet telephone and method for the same
KR101388627B1 (en) 2013-11-07 2014-04-24 한국인터넷진흥원 Apparatus for blocking abnormal traffic in 4g mobile network
KR101388628B1 (en) 2013-11-07 2014-04-24 한국인터넷진흥원 Method for blocking abnormal traffic in 4g mobile network
KR20160086584A (en) * 2015-01-12 2016-07-20 주식회사 엔터플 Method and apparatus for secured communication using predefined url
WO2016114538A1 (en) * 2015-01-12 2016-07-21 n-tuple.co.ltd Method and device for secure communication using predefined url
KR101686181B1 (en) 2015-01-12 2016-12-28 주식회사 엔터플 Method and apparatus for secured communication using predefined url
US10498773B2 (en) 2015-01-12 2019-12-03 n-tuple.co.ltd Method and device for secure communication using predefined URL
US11258829B2 (en) 2015-01-12 2022-02-22 n-tuple.co.ltd Method and device for secure communication using predefined URL

Also Published As

Publication number Publication date
US20090138954A1 (en) 2009-05-28

Similar Documents

Publication Publication Date Title
EP2112798B1 (en) Service controlling in a service provisioning system
Rosenberg et al. SIP: session initiation protocol
US8359015B2 (en) Method of providing a call completion service to a not registered or not available user in a telecommunication network
US7702081B1 (en) Call back number provisioning for emergency call services
US9379914B2 (en) Method and system for implementing aggregate endpoints on IMS networks
KR100852145B1 (en) Security system and securing method of call signaling messages for session initiation protocol based voice over the internet protocol service
ES2327274T3 (en) TREATMENT OR MESSAGE MANAGEMENT IN A MULTIMEDIA IP SUBSYSTEM.
KR100838811B1 (en) Secure session border controller system for voip service security
JP2008148310A (en) Method and system for managing multimedia session
EP2529526B1 (en) Method and equipment for forwarding a sip request message having alerting information associated therewith to a receiving subscriber in a sip based communications network
US20080285468A1 (en) Method and computer-readable medium for detecting abnormal packet in VoIP
CN104767709B (en) A kind of method and device blocking the calling of IMS service exceptions
JP2009540711A (en) Loop detection in SIP signaling proxy
US9191423B2 (en) Caller-ID for redirected calls from SIP-PBX
JP5541287B2 (en) PUCI system
WO2010150043A1 (en) A method of providing a call completion service to a not registered or not available user in a telecommunication network
US10686849B2 (en) Data processing
JP5574698B2 (en) Method for managing communication service, terminal configured to use communication service, registration device configured to register terminal, proxy device, and protocol stack product
CN101465865B (en) Method and equipment for defending network aggression and establishing network connection
US20100246447A1 (en) Method and device for processing data and communication system comprising such device
KR100608907B1 (en) Method and system for recording image communication data in 3gpp ims network
CN102055744A (en) Implementing system and method of IP (Internet Protocol) multimedia subsystem emergency call service
Pranoto et al. Retransmission issue of SIP session over UDP transport protocol in IP Multimedia Subsystem-IMS
KR100957432B1 (en) Media transmission method
Madhosingh The design of a differentiated session initiation protocol to control voip spam

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120713

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20130614

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee